Mobile-Menu

Auf die Verzahnung von lokalem AD und Azure AD kommt es an So verknüpfen Sie Azure AD, Microsoft 365 und MS Teams

Von Thomas Joos

Microsoft Teams ist als Bestandteil von Microsoft 365 eng mit Azure Active Directory verbunden. Daher spielt hier auch die Synchronisierung von Active Directory mit Azure AD eine wichtige Rolle. Ebenso wichtig sind die Gruppen in Active Directory und Azure AD, die auch für Teams genutzt werden sollen.

Anbieter zum Thema

Mit dem Tool DynamicSync und dem IDM-Portal der FirstAttribute AG lassen sich Azure AD und lokales AD ganz einfach mit Microsoft Teams koppeln und synchronisieren.
Mit dem Tool DynamicSync und dem IDM-Portal der FirstAttribute AG lassen sich Azure AD und lokales AD ganz einfach mit Microsoft Teams koppeln und synchronisieren.
(Bild: Joos / FirstAttribute AG)

Vor allem für die Replikation von Gruppen aus Active Directory zu Azure AD spielt die richtige Pflege der Daten eine wichtige Rolle, wenn es darum geht, Microsoft Teams mit Gruppen aus AD zu versorgen. Alle Daten, die in Active Directory korrekt gepflegt werden, lassen sich in Azure AD auch richtig nutzen. Fehlerhaft gepflegte Daten in Active Directory haben aber auch negative Auswirkungen auf Azure AD und damit auch auf Teams.

Bildergalerie
Bildergalerie mit 13 Bildern

Statische Gruppen aus Active Directory in Azure nutzen

Statische AD-Gruppen sind in Azure AD kaum sinnvoll einsetzbar. Zwar lassen sich die Mitgliedschaften synchronisieren, allerdings dauert die Synchronisierung lange. Bis sich Änderungen an den Gruppenmitgliedschaften umfassend auch in den Teams niederschlagen, kann es teilweise Stunden dauern – dies gilt auch beim Einsatz von dynamischen Gruppen aus Azure AD. Aber: Bei der Verwendung von statischen Gruppen lesen Microsoft 365 und Azure zwar die Mitgliedschaften aus, allerdings nur einmal. Änderungen an Gruppen lassen sich über diesen Weg also gar nicht realisieren; auch das Entfernen von Benutzern aus Gruppen ist so nicht möglich.

Denn in diese Richtung funktioniert die Synchronisierung nicht. Beim Synchronisieren von statischen Gruppen in der Cloud werden die Mitglieder aufgelöst und auch in Teams verfügbar gemacht. Allerdings ist das nicht dynamisch. Wir haben im Beitrag "So nutzen Sie Active-Directory-Gruppen in Microsoft Teams" bereits beschrieben, welche Möglichkeiten es gibt AD-Gruppen in Azure AD zu nutzen, um Teams dynamisch zu gestalten.

Benutzer und Gruppen aus Active Directory in Azure AD und Teams nutzen

Wenn die Benutzerkonten sauber gepflegt sind, lassen sie sich mit Azure AD Connect zu Azure AD synchronisieren und auch in der Cloud nutzen. Das ist auch für SSO-Szenarien wichtig, oder wenn AD-Gruppen auch mit Teams zum Einsatz kommen sollen.

Neben den Möglichkeiten im oben genannten Beitrag gibt es aber weitere Möglichkeiten von Drittanbietern, die wir nachfolgend näher vorstellen. Dienste wie das IDM-Portal von FirstWare stellen eine wichtige Grundlage für die richtige Synchronisierung mit Azure AD dar. Hier können Daten gepflegt werden, die anschließend einheitlich in Active Directory zur Verfügung stehen und sich damit auch in die Cloud replizieren lassen.

Active Directory-Gruppen mit Teams einsetzen – Es gibt mehrere Möglichkeiten

Benutzerkonten in Azure AD lassen sich zum Beispiel mit dynamischen Gruppen bündeln und als Basis von dynamischen Gruppen auch für Teams einsetzen. Wie das geht, haben wir ebenfalls im oben genannten Beitrag beschrieben. Damit das funktioniert, müssen die jeweiligen Attribute und Felder der Benutzerkonten zunächst natürlich sauber gepflegt sein. Und genau hierfür können Systeme wie das IDM-Portal zum Einsatz kommen. Hier lassen sich Attribute und Felder einfacher pflegen, vor allem bei einer großen Anzahl an Objekten.

Teams-Mitglieder über AD-Gruppen steuern

Teams-Mitglieder lassen sich über AD-Gruppen steuern. Auch das haben wir im genannten Beitrag beschrieben. In diesem Zusammenhang lassen sich zum Beispiel auch Gruppen in Microsoft 365 erstellen, die wiederum für Teams genutzt werden. Damit das funktioniert, spielt nicht nur die richtige Pflege der Benutzerdaten in Active Directory eine wichtige Rolle, sondern die Daten müssen auch in die Cloud synchronisiert werden. Mehr dazu ist auch im Beitrag "Troubleshooting von Azure-Verbindungen und Azure AD" zu finden.

DynamicSync – Die Cloud-Lösung für dynamische Gruppen in Azure

Neben den Möglichkeiten von dynamischen Gruppen in Azure AD, gibt es aber eine weitere Lösung, um Microsoft Teams mit Gruppen aus Active Directory zu steuern. Gleichzeitig brauchen Unternehmen bei dieser Lösung kein zusätzliches Azure AD Premium-Abonnement, sondern können auf das Basis-System von Azure AD setzen und die ganze Konstruktion darüber hinaus auch noch einfacher verwalten. Hinzu kommt, dass die Kosten dafür wesentlich geringer sind als das Abschließen einer Azure AD Premium-Lizenz.

Bildergalerie
Bildergalerie mit 13 Bildern

Das cloudbasierte Tool DynamicSync steuert die Synchronisierung von Gruppen zwischen Azure AD und lokalem AD. Die Übernahme der Gruppen aus der lokalen AD-Umgebung ist weiterhin die Aufgabe von Azure Active Directory Connect. Davon profitiert auch Microsoft Teams, aber auch andere Lösungen in Microsoft 365, bei denen Anwender mit Berechtigungen auf Basis von Gruppen arbeiten wollen. DynamicSync nutzt daher die Daten von Azure AD Connect und gibt diese an Microsoft 365-Gruppen weiter. Zusätzlich kann Dynamic Sync auch noch auf Basis der Mitgliedschaften von lokalen AD-Gruppen dafür sorgen, dass neue Gruppen für Teams automatisiert in Azure AD zur Verfügung stehen. Zusammen mit dem IDM-Portal ergibt sich dadurch eine Lösung, mit der Konten in Active Directory und Azure AD im Einklang stehen, miteinander synchronisiert werden und gleichzeitig auch in Gruppen und damit in Teams zusammengefasst werden können.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zusammen mit dynamischen Gruppen in Azure AD bietet DynamicSync folgende Funktionen:

  • Dynamische Gruppen lassen sich in Active Directory und Azure AD vollständig automatisiert pflegen
  • Synchronisierung von Azure AD-Gruppen in neue M365 Gruppen, zum Beispiel für Microsoft Teams
  • Hinzufügen und Entfernen von Mitgliedern in die synchronisierten Gruppen
  • Das Erstellen attributbasierter Gruppen mit dynamischen Filtern

DynamicSync ermöglicht es auf Basis von lokalen AD-Gruppen sehr unkompliziert, neue Teams in Microsoft Teams zu erstellen. Die Umsetzung dazu erfolgt komplett in der Cloud und ist in jedem Fall deutlich einfacher und effektiver gelöst als beim Standardweg über die dynamischen Gruppen in Azure AD. Im Rahmen der Synchronisierung ist es darüber hinaus auch möglich Berechtigungen und Sicherheitsstufen von lokalen Umgebungen in die Cloud zu synchronisieren. Dadurch lassen sich viele Aktionen in Microsoft 365 und Teams einfacher steuern.

Die automatische Synchronisierung reduziert Fehler. Die Konfiguration und der Betrieb erfolgen in der Cloud. Das vereinfacht auch die Infrastruktur, die dazu notwendig ist. Durch die Verwendung solcher Werkzeuge reduzieren sich Anfragen an den Support, da weniger Fehler bei der Synchronisierung auch zu weniger Problemen bei Anwendern führen.

So funktioniert DynamicSync

Bei der Verwendung von DynamicSync pflegen Administratoren die Gruppen und Berechtigungen in Active Directory und synchronisieren diese dann in die Cloud. DynamicSync ist ein Clouddienst dessen Einsatz wesentlich günstiger ist als das Buchen von Azure AD Premium P1/P2. Hinzu kommt, dass hier auch Möglichkeiten bestehen Gruppen flexibler ein- und auszuschließen. Das spielt vor allem in größeren Umgebungen eine wichtige Rolle.

Die Pflege der Gruppen im lokalen Active Directory kann entweder mit herkömmlichen Mitteln erfolgen oder mit Zusatztools wie dem IDM-Portal von FirstWare. Dadurch lassen sich relativ einfach komplette Berechtigungsstrukturen in die Cloud synchronisieren und dadurch in Microsoft Azure und Microsoft 365 nutzen. Da sich die Verwaltung deutlich reduziert, sparen Unternehmen auch Kosten, weil Administratoren weniger Zeit für Einrichtung, Verwaltung und Fehlerbehebung benötigen.

Bildergalerie
Bildergalerie mit 55 Bildern

(ID:47951502)